Función Pública no ha encontrado responsables de la filtración de datos personales de 2020

Hace más de un año la Secretaría de la Función Pública dejó al alcance de cualquier persona en internet una base de datos personales con registros confidenciales de 830,000 empleados públicos. El Inai resolvió que la Secretaría había incumplido con la ley al no proteger la privacidad de los datos y ordenó investigar y castigar a los responsables. Pero a un año del incidente la Secretaría aún no encuentra responsables de un hecho que el Inai juzgó como una “vulneración de seguridad que afecta de forma significativa los derechos patrimoniales de los titulares” de los datos exhibidos.

Una reciente respuesta de la Secretaría de la Función Pública (SFP) a una solicitud de transparencia sobre la filtración revela que el “expediente relacionado con los hechos que refiere se encuentra en etapa de investigación” y, por lo tanto, no se han satisfecho las órdenes del Inai, la oficina pública responsable de proteger los datos personales de los ciudadanos en México. En otras palabras: no hay responsables todavía.

Los datos personales confidenciales expuestos por Función Pública fueron la CURP (la clave única de registro poblacional), el RFC (el código de identificación fiscal) y el sexo de las personas servidoras públicas por la filtración, de acuerdo con la clasificación de datos del Sistema Nacional Anticorrupción. Los datos filtrados eran parte de las declaraciones patrimoniales de las personas funcionarias públicas, obligadas a informar sobre su patrimonio y sus finanzas como parte de las medidas contra la corrupción en México.

En todo lo relacionado con esta filtración de datos Función Pública se ha distinguido por la opacidad, el silencio y los eufemismos. En septiembre de 2020, la Secretaría clasificó como reservados los detalles del incidente de seguridad, que ocurrió por la creación de una base de datos redundante con las declaraciones patrimoniales de los funcionarios públicos sin las medidas de seguridad suficientes que impidieran el acceso de terceros no autorizados. En la nueva respuesta de transparencia para dar seguimiento al asunto, con clave SAI 0002700192921, la Secretaría señala que la información solicitada sobre el incidente es inexistente y que el cumplimiento a las resoluciones del Inai “se encuentra en trámite”.

Lo cierto es que en casos como este las órdenes del Inai son irrelevantes: la autoridad de protección de datos puede declarar y ordenar sanciones contra el incumplimiento de la ley, pero no tiene la obligación de dar seguimiento al cumplimiento de sus fallos. Tampoco las oficinas públicas tienen la obligación de informar al Inai si se atacaron las resoluciones: son los propios órganos internos de control de cada secretaría, todos bajo la autoridad de Función Pública, los únicos responsables de atender y vigilar que la palabra del Inai se cumpla.

Es un problema de diseño institucional, de la ley y de las atribuciones del Inai. Es la Secretaría investigando a la Secretaría sobre algo que a todas luces daña su reputación. Ya sea por vergüenza, o por arrogancia, pero a nadie le gusta asumir errores y menos cuando se trata de la oficina pública responsable de investigar y castigar los desvíos de los servidores públicos. Es una demostración de insensibilidad del Gobierno ante un incidente de interés público con afectaciones para un número significativo de personas. 

¿Qué estado guarda el expediente? ¿Qué avances tiene? ¿Cuándo concluirá la investigación? Ninguna de estas preguntas tiene respuesta. Un vocero de Función Pública me dijo que “no es posible dar más elementos” a los expuestos a través de transparencia porque “el expediente aún se encuentra en etapa de investigación”.

Es curioso comparar el celo que impone la Secretaría de la Función Pública para proteger la información que la compromete y el descuido que tuvo para proteger los datos personales de 830,000 funcionarios públicos.